Configurar a direção de transferência da área de transferência e os tipos de dados que podem ser copiados na Área de Trabalho Virtual do Azure

Importante

A configuração da direção de transferência da área de transferência na Área de Trabalho Virtual do Azure está atualmente em versão prévia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O redirecionamento da área de transferência na Área de Trabalho Virtual do Azure permite que os usuários copiem e colem conteúdo, como texto, imagens e arquivos, entre o dispositivo do usuário e a sessão remota, em qualquer direção. Talvez você queira limitar a direção da área de transferência para os usuários, para ajudar a impedir que a exfiltração de dados ou arquivos mal-intencionados sejam copiados para um host da sessão. Você pode configurar se os usuários podem usar a área de transferência do host da sessão para o cliente ou cliente para o host da sessão, bem como os tipos de dados que podem ser copiados, por meio das seguintes opções:

• Desabilitar as transferências da área de transferência do host da sessão para o cliente, do cliente para o host da sessão ou ambos.
• Permitir apenas texto sem formatação.
• Permitir somente texto sem formatação e imagens.
• Permitir somente texto sem formatação, imagens e formato rich text.
• Permitir somente texto sem formatação, imagens, formato rich text e HTML.

Você aplica configurações aos hosts da sessão. Ele não depende de um cliente específico da Área de Trabalho Remota ou da versão dele. Este artigo mostra como configurar a direção da área de transferência e os tipos de dados que podem ser copiados usando o Microsoft Intune; alternativamente, você pode configurar a Política de Grupo local ou o registro de hosts da sessão.

Pré-requisitos

Configurar a direção de transferência da área de transferência, você precisa de:

• Hosts de sessão executando o Windows 11 Insider Preview Build 25898 ou a versão mais recente do Windows Insider Build (Canal de Desenvolvimento). Você deve ingressar no Programa Windows Insider para ativar a versão prévia do Canal de Desenvolvimento.

• As propriedades do RDP do pool de hosts devem permitir o redirecionamento da área de transferência, caso contrário, ele será completamente bloqueado.

• Dependendo do método usado para configurar a direção de transferência da área de transferência:

  • Para o Intune, você precisa de permissão para definir e aplicar configurações. Para obter mais informações, consulte Modelo administrativo para Área de Trabalho Virtual do Azure.

  • Para configurar a Política de Grupo local ou o registro de hosts de sessão, você precisa de uma conta que seja membro do grupo de Administradores local.

Configurar a direção de transferência da área de transferência

Veja aqui como configurar a direção de transferência da área de transferência e os tipos de dados que podem ser copiados. Selecione a guia relevante ao seu cenário.

Intune

Para configurar a área de transferência usando o Intune, siga estas etapas. Esse processo implanta um OMA-URI para direcionar a um CSP.

1. Entre no Centro de administração do Microsoft Intune.

2. Criar um perfil com configurações personalizadas para dispositivos Windows 10 e posteriores, com o tipo de perfil Modelos e o nome do modelo de perfil Personalizado.

3. Na guia Básico, insira um nome e uma descrição opcional para o perfil e selecione Avançar.

4. Para a guia Configurações, selecione Adicionar para mostrar o painel Adicionar linha.

5. No painel Adicionar linha, insira um dos seguintes conjuntos de configurações, dependendo se você deseja configurar a área de transferência do host da sessão para o cliente ou do cliente para o host da sessão.

   • Para configurar a área de transferência de host da sessão para o cliente:

     • Nome: (exemplo) Do host da sessão para o cliente

     • Descrição: Opcional

     • OMA-URI: ./Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection

     • Tipo de dados: String

     • Valor: insira um valor da seguinte tabela:

       Valor	Descrição
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="0"/>]]>	Desabilitar as transferências da área de transferência do host da sessão para o cliente.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="1"/>]]>	Permitir texto sem formatação.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="2"/>]]>	Permitir texto sem formatação e imagens.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="3"/>]]>	Permitir texto sem formatação, imagens e formato rich text.
       <![CDATA[<enabled/><data id="TS_SC_CLIPBOARD_RESTRICTION_Text" value="4"/>]]>	Permitir texto sem formatação, imagens, formato rich text e HTML.

   • Para configurar a área de transferência do cliente para o host da sessão:

     • Nome: (exemplo) Do cliente para o host da sessão

     • Descrição: Opcional

     • OMA-URI: ./Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection

     • Tipo de dados: String

     • Valor: insira um valor da seguinte tabela:

       Valor	Descrição
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="0"/>]]>	Desabilitar as transferências da área de transferência do host da sessão para o cliente.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="1"/>]]>	Permitir texto sem formatação.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="2"/>]]>	Permitir texto sem formatação e imagens.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="3"/>]]>	Permitir texto sem formatação, imagens e formato rich text.
       <![CDATA[<enabled/><data id="TS_CS_CLIPBOARD_RESTRICTION" value="4"/>]]>	Permitir texto sem formatação, imagens, formato rich text e HTML.

6. Selecione Salvar para adicionar a linha. Repita as duas etapas anteriores para configurar a área de transferência na outra direção, se necessário. Depois de definir as configurações desejadas, selecione Próximo.

7. Na guia Atribuições, selecione os usuários, dispositivos ou grupos para receber o perfil e selecione Próximo. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

8. Para a guia Regras de Aplicabilidade, selecione Próximo.

9. Na guia Examinar + criar, examine as informações de configuração e selecione Criar.

10. Depois que a configuração de política for criada, ressincronize os hosts da sessão e reinicie-os para que as configurações entrem em vigor.

11. Conecte-se a uma sessão remota com um cliente com suporte e tente copiar e colar conteúdo para testar se as configurações de área de transferência definidas estão funcionando.

Política de Grupo

Para configurar a área de transferência usando a Política de Grupo, siga estas etapas.

Importante

Essas configurações de política aparecem na Configuração do Computador e na Configuração do Usuário. Se ambas as configurações de política estiverem configuradas, a restrição mais rigorosa será usada.

1. Abra Editor de Política de Grupo Local no menu Iniciar ou executando gpedit.msc.

2. Navegue até uma das seções de política a seguir. Use a seção de política em Configuração do Computador para o host da sessão de destino e use a seção de política em Configuração do Usuário que se aplica a usuários específicos de destino.

   • Computador: Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection
   • Usuário: User Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection

3. Abra uma das seguintes configurações de política, dependendo se você deseja definir a área de transferência do host de sessão (servidor) para o cliente ou do cliente para o host da sessão:

   • Para configurar a área de transferência de host da sessão para o cliente, abra a configuração de política Restringir a transferência da área de transferência do servidor para o cliente e selecione Habilitado. Escolha entre as seguintes opções:

     • Desabilitar as transferências da área de transferência do servidor para o cliente.
     • Permitir texto sem formatação.
     • Permitir texto sem formatação e imagens.
     • Permitir texto sem formatação, imagens e formato rich text.
     • Permitir texto sem formatação, imagens, formato rich text e HTML.

   • Para configurar a área de transferência de cliente para o host da sessão, abra a configuração de política Restringir a transferência da área de transferência do cliente para o servidor e selecione Habilitado. Escolha entre as seguintes opções:

     • Desabilitar as transferências da área de transferência do cliente para o servidor.
     • Permitir texto sem formatação.
     • Permitir texto sem formatação e imagens.
     • Permitir texto sem formatação, imagens e formato rich text.
     • Permitir texto sem formatação, imagens, formato rich text e HTML.

4. Selecione OK para salvar suas alterações.

5. Depois de definir as configurações, reinicie os hosts da sessão para que as configurações entrem em vigor.

6. Conecte-se a uma sessão remota com um cliente com suporte e tente copiar e colar conteúdo para testar se as configurações de área de transferência definidas estão funcionando.

Dica

Durante a versão prévia, você também pode configurar a Política de Grupo centralmente em um domínio do Active Directory copiando os arquivos de modelo administrativo terminalserver.admx e terminalserver.adml de um host da sessão para o Repositório Central de Política de Grupo em um ambiente de teste.

Registro

Para configurar a área de transferência usando o registro em um host de sessão, siga estas etapas.

1. Abra o Editor do Registro no menu Iniciar ou executando regedit.exe.

2. Defina uma das chaves do Registro a seguir e o respectivo valor, dependendo se você deseja definir a área de transferência do host de sessão para o cliente ou do cliente para o host da sessão.

   • Para configurar a área de transferência de host da sessão para o cliente, defina uma das seguintes chaves do Registro e o respectivo valor. O uso do valor do computador aplica-se a todos os usuários, enquanto o uso do valor para o usuário aplica-se somente ao usuário atual.

     • Chave:

       • Computador: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Usuários: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Tipo: REG_DWORD

     • Nome do valor: SCClipLevel

     • Dados do valor: insira um valor da seguinte tabela:

       Dados do valor	Descrição
       0	Desabilitar as transferências da área de transferência do host da sessão para o cliente.
       1	Permitir texto sem formatação.
       2	Permitir texto sem formatação e imagens.
       3	Permitir texto sem formatação, imagens e formato rich text.
       4	Permitir texto sem formatação, imagens, formato rich text e HTML.

   • Para configurar a área de transferência do cliente para o host da sessão, defina uma das seguintes chaves do Registro e o respectivo valor. O uso do valor do computador aplica-se a todos os usuários, enquanto o uso do valor para o usuário aplica-se somente ao usuário atual.

     • Chave:

       • Computador: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
       • Usuários: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services

     • Tipo: REG_DWORD

     • Nome do valor: CSClipLevel

     • Dados do valor: insira um valor da seguinte tabela:

       Dados do valor	Descrição
       0	Desabilitar as transferências da área de transferência do cliente para o host da sessão.
       1	Permitir texto sem formatação.
       2	Permitir texto sem formatação e imagens.
       3	Permitir texto sem formatação, imagens e formato rich text.
       4	Permitir texto sem formatação, imagens, formato rich text e HTML.

3. Reinicie a VM do host de sessão.

4. Conecte-se a uma sessão remota com um cliente com suporte e tente copiar e colar conteúdo para testar se as configurações de área de transferência definidas estão funcionando.

Conteúdo relacionado

• Configurar a criação de marcas d'água.
• Configurar a proteção de captura de tela.
• Saiba mais sobre como proteger sua implantação da Área de Trabalho Virtual do Azure nas melhores práticas de Segurança.